Virustotal: Nutzerdaten von Googles Analysedienst im Netz gelandet

Die Nutzerdatenbank – oder ein Teil davon – von Googles Angebot Virustotal ist im Internet gelandet. Virustotal untersucht etwa hochgeladene Dateien mit mehr als 50 Virenscannern und weiteren Analysetools und bietet IT-Sicherheitsexperten auch eine Diskussionsplattform.

Wie der Spiegel berichtet, ist eine Datei von 313 Kilobyte Größe im Netz aufgetaucht. Diese enthalte eine Liste mit rund 5600 Namen, E-Mail-Adressen und ihren Organisationen von Dienstnutzenden. Unter anderem verweisen sie auf Mitarbeiter des US-Geheimdienstes NSA und auch deutsche Nachrichtendienste.

Virustotal-Datenleck: Daten authentisch

Der Analyse des Spiegel zufolge sind die Daten authentisch, Behördenmitarbeiter ließen sich verifizieren sowie manche Namen etwa auf Linkedin finden. Es seien aber sicherlich Konten von Personen darunter, die nicht oder nur ungern über ihre Arbeit sprechen würden. Darunter Mitarbeiter des US-Cyber-Command, US-Justizministeriums, FBI oder NSA. Wenig verwunderlich, es seien auch Mitarbeiter von offiziellen Einrichtungen in Großbritannien, den Niederlanden oder Taiwan auf Virustotal aktiv.

Deutsche Einrichtungen umfassten demnach den militärischen Abschirmdienst MAD, eine Bundesstelle für Fernmeldestatistik (die zum Bundesnachrichtendienst BND gehört) oder das BSI. Und Mitarbeiter deutscher Unternehmen sind ebenfalls darunter, etwa der Deutschen Bahn, Bundesbank oder Dax-Unternehmen wie Allianz, BMW, Mercedes-Benz oder Deutsche Telekom. Das verwundert jedoch nicht: Virustotal ist ein äußerst nützlicher Dienst und eine Plattform zum Austausch unter IT-Sicherheitsexperten, die Bedrohungen durch bösartige Dateien oder Webseiten untersuchen.

Damit offenbart die Nutzerliste jedoch, wer etwa in welcher Einrichtung im Bereich IT-Sicherheit arbeitet. Das vereinfacht Spear-Phishing, also das gezielte Anschreiben von Mitarbeitern, um sie zur Herausgabe etwa von Zugangsdaten zu bewegen.

Virustotal mit Bedacht nutzen

Virustotal liefert den Nutzern und Antivirenunternehmen die hochgeladenen Informationen auch wieder aus – das nicken Nutzerinnen und Nutzer auch in den Nutzungsbedingungen ab. Das bedeutet, dass dort keine vertraulichen Daten landen sollten. Unbedarfte und unbedacht handelnde Mitarbeiter missachten das jedoch gelegentlich, sodass vertrauliche Informationen in falschen Händen landen könnten. Das BSI erläuterte das in einer Sicherheitswarnung im März des vergangenen Jahres.

Auf unsere Anfrage erklärte eine Google-Sprecherin: "Wir sind uns der unbeabsichtigten Verbreitung eines kleinen Ausschnitts von E-Mails von Kundengruppenadministratoren und Organisationsnamen durch einen unserer Mitarbeiter auf der VirusTotal-Plattform bewusst. Wir haben die Liste innerhalb einer Stunde nach ihrer Veröffentlichung von der Plattform entfernt und prüfen unsere internen Prozesse und technischen Kontrollen, um unsere Abläufe in Zukunft zu verbessern".

Wer den Virustotal-Dienst mit Zugangsdaten genutzt hat oder nutzt, sollte bei Kontaktversuchen besonders genau hinschauen, ob es sich möglicherweise um Phishing handelt. Allerdings dürfte das für die Zielgruppe ohnehin geübtes Handwerk sein – im Regelfall dürften das IT-Sicherheitsexperten sein.

Im April vergangenen Jahres konnten IT-Forscher aufgrund einer Schwachstelle in einer veralteten, vermeintlich von Virustotal genutzten Bibliothek mit manipulierten Bilddateien eigenen Code einschleusen, der auf Analyse-Servern ausgeführt wurde. Es stellte sich jedoch heraus, dass Googles Systeme sicher und Server von Drittherstellern oder Partnerunternehmen betroffen waren. Diese hatten die Virustotal-Daten automatisch heruntergeladen und mit anfälliger Software untersucht.

(dmk)